Během posledních dvou let bezpečnostní experti a softwarový prodejci stále více zlehčují hrozící nebezpečí virů, které se také označují jako červy (worm virus). Nové poznatky však ukazují, že tyto viry stále představují velké riziko. Bezpečnostní experti se shodli v názoru, že s narůstající kvalitou ochraných nástrojů je stále těžší pro programátory malwaru nakazit počítač worm virem. Tento vývoj nutí útočníky, aby místo samostatných programů vytvářeli virus jako součást škodlivého softwaru.
Hromadné viry z minulých let, které se šíří emailem (patří sem např. velmi známé viry MyDoom, Sobig, Slammer) a napadají především infrastrukturu IT, se pomalu vytrácí. Oproti tomu drobné útoky, které mají za cíl nahrát malware do systému koncového uživatele, jsou stále hrozbou internetu. Do této skupiny patří především aktuální virus Storm.
Bezpečnostní experti se shodli v názoru, že s narůstající kvalitou ochraných nástrojů je stále těžší pro programátory malwaru nakazit počítač worm virem. Tento vývoj nutí útočníky, aby místo samostatných programů vytvářeli vir jako součást škodlivého softwaru.
Pokračující rozšířování a modifikace Storm viru, který se poprvé objevil v polovině ledna tohoto roku, však ukazují možnost útoků, které budou nejspíš uživatele ohrožovat v následujících letech.
Pracovnící společnosti Secure Computing uvedli 27. února podrobnosti o nově vznikající variantě viru Storm. Tato nová verze čeká na infikovaném počítači, až uživatel pošle zprávu pomocí emailové služby nebo přidá zprávu do online návštěvní knihy a diskusního fóra. Virus poté do zprávy vloží odkaz na internetové stránky, které jsou zahlceny nebezpečným malwarem. Nachází se tam například programy, které slouží k ukradení uživatelských osobních údajů.
„Viry typu Storm, které by se daly považovat za kombinaci trojského koně a rootkitu, ukazují způsob, jakým útočníci budou používat worm viry pro prosazení jejich posledních výtvorů,“ uvedl Dmitri Alperovitch, přední výzkumný pracovník společnosti Secure.
„Nepodceňujeme nebezpečí hrozící z cílených finančních útoků, ale tento způsob vyžaduje spoustu práce, aby uspěl. Utočník musí udělat průzkum organizace nebo uživatele a vložit velké množství úsilí do každého cíle útoku“, řekl Alperovitch. „Návratnost za takové útoky je pravděpodobně větší, ale tyto druhy virů, mohou za sebe zaplatit poměrně rychle. Jsou zde menší pochybnosti, že by se v budoucnu objevili podobné viry.“
Kromě toho, že používání worm virů umožňuje šířit malware, variace Stormu převzaly mnoho vlastností, které jsou charakteristické pro nejnovější útoky. Samotný škodlivý kód se velmi rychle mění, aby se zabránilo detekci antivirových programem, tvrdí výzkumnící Secure.
„Nedokážu si představit, jak se vyrovnají antivirové programy s neustálou změnou kódu a stále novými variantami viru. Současné technologie rozeznávají viry pomocí struktury kódu, ale co lidé ve skutečnosti potřebují je antivirový systém, který vir rozezná podle chování“, tvrdí dále Alperovitch. „Neviděli jsme, že by se vir šířil hromadně emaily, jak tomu bylo v minulosti. Součásti internetových stránek však umožní mnohem rychlejší šíření, takže bychom se na ně měli podrobně zaměřit.“
Antivirové společnosti připouští, že současné technologie nedokáží zastavit šíření nového druhu worm virů, ale že je možnost odvrátit útoky za použití kombinace stávajících produktů a nových systémů, založených na rozpoznávání virů podle jejich chování.
Odborníci společnosti Symantec, přední antivirové společnosti, se dívají na Storm více jako na trojského koně než worm vir. Je to především kvůli faktu, že se vir šíří více díky sociálnímu inženýrství než automatické propagaci. V obou případech se uživatelé mohou spoléhat na strategii tzv. defense-in-depth (definuje více vrstev bezpečnosti a nespoléhá se na to, že by kterákoli jediná oblast plně zabezpečovala celou infrastrukturu), aby se ochránili před těmito druhy útoku, tvrdí Dave Cole, ředitel bezpečnostního týmu Symantecu.
„V současné době nejsou hlavní nebezpečí worm viry, které známe z minulých let, ale skutečné trojské útoky, kdy vývojáři využívají opravdu sofistikovaných způsobů sociálního inženýrství, aby nalákali uživatele stáhnout daný soubor“, uvedl Cole. „Můžete narazit na klasické worm viry, stále jich vidíme tuny, ale ve skutečnosti už neohrozí tolik uživatelů díky kvalitní obraně. Nové druhy worm virů představují mnohem větší nebezpečí.“
Podle výzkumníka společnosti Symantec by lidé přesto měli stále používat klasické antivirové programy jako ochranu proti čemukoliv, co se pokusí dostat přes jejich filtry. Programy rozeznávající viry podle chování, jako například IDS, představují nejefektivnější obranu proti rychle se modifikujícím virům, které jsou aktuální hrozbou.
Dan Hubbard, viceprezident bezpečnostního výzkumu společnosti Websense, tvrdí, že jako ostatní druhy malwaru se budou worm viry kombinovat s různými ruhy útoků ke zvýšení šance jejich úspěchu. Uvedl, že podle expertů není pravděpodobné, že by se worm viry opět staly nejrozšířenějším druhem někdy v blízké době, zůstanou však jako další volba pro tvorbu malwaru.
„Celkově se emaily pouze s worm viry staly méně častými, zato jejich použití v kombinaci s jinými druhy útoku se stává čím dál víc promyšlené a nejspíš se bude stále více objevovat“, řekl Hubbard. „Automatizace bude použita k vytváření nových variant mnohem rychleji než kdy předtím a tyto varianty budou schopny se sami aktualizovat a modifikovat. Toto je hlavní část zvyšujícího se počtu infikovaných uživatelů přes internet, kterou pozorujeme.“
